副処理者
バージョン 2.0最終更新:
このページでは、Zenovay(「Zenovay」、「当社」)が分析プラットフォームおよび関連サービスの提供、維持、改善を支援するために使用するサードパーティの副処理者(ベンダーおよびサービスプロバイダー)をリストアップしています。
セキュリティ、プライバシー、データ保護について高い基準を維持する副処理者を慎重に選択しています。すべての副処理者は、適用されるデータ保護法および当社のデータ処理要件を遵守することが求められます。
副処理者とは何か
副処理者とは、サービスの提供を支援するためにZenovayが関与するサードパーティのデータ処理者です。これらの副処理者は、以下のような目的で当社に代わって顧客データを処理することがあります。
- ホスティングインフラとコンテンツ配信
- データベース管理とデータストレージ
- 決済処理とサブスクリプション管理
- メール配信とコミュニケーションサービス
- 認証とID管理
- 分析と監視サービス
現在の副処理者
以下の表は、上記の日付時点でZenovayが使用しているすべてのアクティブな副処理者を一覧表示しています。
| 副処理者 | 目的 | 所在地 | 移転メカニズム | ウェブサイト |
|---|---|---|---|---|
| Cloudflare, Inc. | エッジコンピューティング(Workers)、キーバリューストレージ(KV)、静的ホスティング(Pages)、オブジェクトストレージ(R2)、CDN、DDoS保護、ボット保護(Turnstile)、AI Gateway | 米国(グローバルエッジ) | EU-米国DPF / スイス-米国DPF | cloudflare.com/privacypolicy/ |
| Supabase, Inc. | PostgreSQLデータベース、リアルタイムデータ同期、認証、ストレージ | 欧州連合(eu-central-1、フランクフルト)- 2026年4月24日以降の主要データベースリージョン | 十分性(データはEU域内に所在);運用サポートのデータフローにはSCCが適用されます | supabase.com/privacy |
| Stripe, Inc. | 決済処理、課金、サブスクリプション管理 | 米国 | EU-米国DPF / スイス-米国DPF | stripe.com/privacy |
| Resend, Inc. | トランザクションメール配信と通知サービス | 米国 | SCC | resend.com/legal/privacy-policy |
| Mapbox, Inc. | ジオロケーションサービスと3Dグローブビジュアライゼーション | 米国 | SCC | mapbox.com/legal/privacy |
| Google LLC | OAuthソーシャル認証(オプションのサインイン方法) | 米国 | EU-米国DPF / スイス-米国DPF | policies.google.com/privacy |
| GitHub (Microsoft Corp.) | OAuthソーシャル認証(オプションのサインイン方法) | 米国 | EU-米国DPF / スイス-米国DPF | docs.github.com/en/site-policy/privacy-policies/github-general-privacy-statement |
| OpenAI, LLC | AI搭載の分析インサイトと自然言語処理(オプション機能) | 米国 | SCC | openai.com/policies/privacy-policy |
| IPwho.is | IPジオロケーションフォールバックサービス | EU / グローバル | 適切性 / SCC | ipwho.is |
| Meta Platforms, Inc. | Meta Pixelによる広告コンバージョン追跡とリマーケティング(ユーザーの同意が必要) | 米国 | EU-米国DPF / スイス-米国DPF | facebook.com/privacy/policy/ |
| Reddit, Inc. | Reddit Pixelによる広告コンバージョン追跡とリマーケティング(ユーザーの同意が必要) | 米国 | SCC | reddit.com/policies/privacy-policy |
| Google LLC (Analytics) | Google Analytics 4によるウェブサイト分析、トラフィック測定、コンバージョン追跡(ユーザーの同意が必要) | 米国 | EU-米国DPF / スイス-米国DPF | policies.google.com/privacy |
| Sentry, Inc. | エラー監視、アプリケーションパフォーマンス追跡、クラッシュレポート | 米国 | SCC | sentry.io/privacy/ |
| LemonSqueezy (Lemon Squeezy, LLC) | 代替決済処理、Merchant-of-Record方式の請求書発行、およびチェックアウト時にLemonSqueezyを選択した顧客向けの請求管理 | 米国 | SCC | lemonsqueezy.com/privacy |
| Polar Software, Inc. | 代替決済処理、サブスクリプション請求、およびチェックアウト時にPolarを選択した顧客向けのウェブフック配信 | 米国 | SCC | polar.sh/legal/privacy |
| Anthropic, PBC | Cloudflare AI Gateway経由でルーティングされるAI支援の電子メール分類および作成。顧客所有の電子メールコンテンツおよび集計済み分析のみを処理し、訪問者セッションの生データは送信されません。 | 米国 | EU-米国DPF / SCC | anthropic.com/privacy |
オプションの副処理者
以下の副処理者は、顧客が特定のオプション機能を有効にした場合にのみ関与します。
| 副処理者 | 目的 | 機能 | 移転メカニズム | ウェブサイト |
|---|---|---|---|---|
| IPinfo | ビジネスインテリジェンスのためのサードパーティデータエンリッチメント | B2B企業識別 | SCC | ipinfo.io/privacy |
| Clearbit (HubSpot) | ビジネスインテリジェンスのためのサードパーティデータエンリッチメント | B2B企業識別 | EU-米国DPF / SCC | hubspot.com/data-privacy/privacy |
| Amazon Web Services (AWS S3) | 顧客管理のオブジェクトストレージ。集計済みのanalytics_dailyメトリクスは、顧客が所有・設定するバケットへPUTされます。Zenovayはエージェントとして機能するのみで、認証情報・バケット・リージョン・ライフサイクルポリシーは完全に顧客が管理します。 | ウェアハウスエクスポート(S3)- Scaleプラン | 顧客管理(転送はZenovayのDPAではなく顧客自身のAWS DPAの下で実行されます) | aws.amazon.com/privacy/ |
データ処理基準
上記のすべての副処理者は以下を要求されます。
- 顧客データを保護するための適切な技術的・組織的セキュリティ措置を維持すること
- Zenovayの文書化された指示に従ってのみデータを処理すること
- GDPR、CCPA、およびその他の関連規制を含む適用されるデータ保護法を遵守すること
- 法律によって要求される場合にデータ保護影響評価を実施すること
- データ侵害、セキュリティインシデント、または不正アクセスについてZenovayに速やかに通知すること
- アクセス、削除、ポータビリティ要求を含むデータ主体の要求を支援すること
- それぞれのサービスカテゴリーおよび規模に応じて適切な認証およびセキュリティ基準を維持すること
- 指示に従って、サービス終了時に顧客データを返却または削除すること
国際的なデータ移転
Zenovayの主要データベース(Supabase)は2026年4月24日以降、欧州連合(eu-central-1、フランクフルト)でホストされており、Cloudflare R2(ヒートマップのスクリーンショット)はEUデータロケーション優先で構成されています。当社のその他の副処理者の一部(例:Stripe、Resend、Cloudflare AI Gateway経由のOpenAI)は米国に所在しており、欧州経済領域(EEA)外、EEA諸国と同レベルのデータ保護を提供していない国への個人データの移転を伴う場合があります。
適切性決定のない国へのEEAからの個人データの移転については、以下を通じてコンプライアンスを確保します。
- EU-米国データプライバシーフレームワーク(DPF)/ スイス-米国DPF: EU-米国およびスイス-米国データプライバシーフレームワークの下で認証された米国を拠点とする副処理者については、DPFを有効な移転メカニズムとして利用します(2023年7月10日の欧州委員会の適切性決定)。
- 標準契約条項(SCC): DPFの下で認証されていない副処理者との間で、または追加の保護措置として欧州委員会が承認した標準契約条項(決定2021/914)を使用します。
- データ処理契約(DPA): すべての副処理者は、適切なデータ保護の保護措置を含む包括的なデータ処理契約に拘束されます。
- 適切性決定: 該当する場合、特定の国についての欧州委員会が発行した適切性決定に依拠します。
- 補完的措置(Schrems II): 転送中(TLS 1.2+)および保存中(AES-256)の暗号化、アクセス制御、移転影響評価、定期的なセキュリティ監査を含む、EDPBの推奨に従った補完的措置を実施しています。
このリストの更新
Zenovayは、ビジネスニーズの変化、技術の変更、またはサービスの改善に伴い、副処理者を随時追加、削除、または変更することがあります。
副処理者に変更を加える場合、当社は:
- このページを現在の副処理者リストで更新します
- このページ上部の「最終更新日」を更新します
- 新しい副処理者を追加する前に少なくとも30日前に有料顧客に事前通知を提供します
- 副処理者の重要な変更について有料顧客にメールで通知します
- 合理的なデータ保護上の理由に基づく新しい副処理者への異議申し立て権を有料顧客に提供します
現在の副処理者について最新情報を把握するために、このページを定期的に確認することをお勧めします。副処理者の更新に関するメール通知をサブスクライブすることもできます。
お客様の権利
Zenovayの顧客として、お客様には以下の権利があります。
- 副処理者とそのデータ処理活動に関する情報を要求する権利
- 合理的なデータ保護上の理由に基づく新しい副処理者の使用に異議を唱える権利(すべての有料顧客に適用)
- 要求に応じてデータ処理契約のコピーを受け取る権利(機密保持義務を条件とする)
- データ保護義務へのコンプライアンスを監査するか、サードパーティ監査人を任命する権利(機密保持と合理的な通知を条件とする)
- 新しい副処理者に対するお客様の合理的な異議に対応できない場合に契約を解約する権利
特定のデータ処理要件を持つEnterprise顧客は、カスタマイズされたデータ処理の取り決めについて当社にお問い合わせいただけます。
連絡先情報
副処理者、データ処理慣行についてご質問がある場合、または副処理者の更新通知をサブスクライブしたい場合は、お問い合わせください。